463MB,这是 IDC 对 2025 年人类每秒生成数据量的预测,而在 2020 年这个数字还只有 1.7MB/ 秒。要知道,数据的指数级增长是当今世界最重要的趋势之一,而充分利用快速增长的数据实现创新和业务成长,就是企业数字化转型的主要任务。Gartner 最近的一份报告显示,89% 的企业董事表示,数字化转型已经嵌入了这些企业的业务增长战略。然而,只有 35% 的董事认为他们已经或正在实现转型目标。
数字化愿景与现实存在的差距困扰着诸多企业,但造成这种差距的一个重要因素却一直被很多管理者所忽视,那就是企业未能建立应有的数字安全与合规体系。应用迭代的速度加快、数据快速膨胀、企业云原生道路上遭遇的种种困境,与数字安全部门有限的人力与资源约束叠加在一起,使今天的企业面临着前所未有的信息安全挑战。这种挑战增加了数据泄露、数据篡改、DDoS、恶意软件(包括勒索软件)、零日攻击等威胁的风险和影响,进而为企业的数字化转型路径埋下了一系列隐患。另一方面,各国日趋严格的数据合规政策给企业施加了一系列约束条件,试图拓展全球业务的企业必须在这一领域投入更多资源,避免自身业务遭受冲击。
遗憾的是,企业管理者往往采用被动、消极的态度应对这些挑战,安全与合规方面的投入经常被认为是与业务争夺资源的成本负担。直到最近,这样的局面才开始出现了转机。《财富》1000 强 CISO(首席信息安全官)社区的一项近期研究报告说,58% 的 CISO 认同将信息安全重新定位为业务起点和基础的观点,并尝试将这种观点向领导层传达。具体而言,这种全新的视角认为安全性可以提升企业的竞争力、提升企业进入新市场的信心、增加收入、降低风险、保持业务连续性和改善企业信任关系。换句话说,信息安全与合规工作并不会挤占业务资源,相反,这些工作本身就是业务的一部分,是企业降本增效、提升投资回报率的必要工具。
作为全球领先的云服务提供商,亚马逊云科技一直高度重视安全与合规工作,也非常认同上述观点,并致力于通过一系列产品、服务为企业提供安全合规这一关键业务支点。在刚刚结束的 re:Inforce 2023 全球大会(下文称“大会”)上,亚马逊云科技就发布了多项创新成果,为全球企业搭建和完善了安全合规性解决方案,并向世界展示了亚马逊云端安全文化如何帮助企业实现数字化转型目标。
一、利用“基础设施的安全合规性”+“云安全文化”为企业构筑护城河
在数据量指数级增长的背景下,今天的企业愈加依赖云端来存储、分析和处理海量数据资源。正因如此,云端安全性对企业业务的重要性与日俱增。一旦云端数据遭遇泄漏、恶意利用、欺诈等风险,将对企业业务甚至生存造成重大威胁,还有可能造成严重的社会负面影响。正因如此,中、美和欧盟都出台了严格的云端数据监管法案,要求云服务提供商与企业高度重视云安全性,采取有效措施应对日益增长的安全挑战。
显然,在搭建云安全防线的过程中,云服务提供商的安全文化是非常重要的。只有将安全合规的理念贯彻到云端基础设施的每一个角落,才能充分保障企业数据,显著降低风险和减少损失。云服务商不仅有责任为企业提供安全屏障,同时也有义务帮助企业建立完善的安全合规体系,并尽可能降低相关工作的成本投入。只有这样,企业才能放心将敏感数据保存在云端,并利用广泛的云端应用来挖掘数据潜力,为业务增长注入动能。
在本次大会上,亚马逊云科技再次强调了自身的云安全文化,并展示了诸多相关的技术细节和实现,亚马逊云科技向大家证明了自己作为云服务提供商同样拥有顶级的安全合规能力,可以为企业业务构筑宽广的护城河。
亚马逊云科技的安全性始于安全的全球云基础设施,企业无论规模大小均可获得一致的云安全体验。展开来讲就是,亚马逊云科技的基础设施不仅根据安全最佳实践和最高标准来建立和管理,而且还考虑了云的独特需求,采用冗余和分层控制、持续验证和测试,大量使用自动化,确保底层基础设施得到 7X24 小时全天候的监控和保护,以满足跨国银行等高敏感组织的安全需求。
此外,亚马逊云科技还支持 143 项安全标准与合规性认证,帮助企业满足全球几乎所有监管机构的合规要求。亚马逊云科技管理和控制从主机操作系统和虚拟化层到服务运行设施的物理安全的组件,同时为企业提供了广泛的最佳实践、加密工具与其他指导,帮助企业完善应用层面的安全措施。
值得一提的是,在本次大会上,亚马逊云科技发布了三项服务,其一是易用的 Amazon EC2 Instance Connect Endpoint,为用户提供了严格的身份和资源授权验证;其二是 Amazon Inspector Code Scans For Lambda,它可以扩大 Inspector 的扫描范围,提升云端检测和处理安全漏洞的能力;其三是 Amazon Inspector SBOM Export,能够帮助企业自动并集中管理软件的构成元素清单,便于处理安全问题、许可证合规性并提升供应链透明度。从第三方视角看,这些服务进一步增强了亚马逊云基础设施的安全合规水平,并让企业能够更好地利用云端能力改善应用与终端层面的安全合规性、贯彻企业内部流程的安全合规文化。
二、“自动化、智能化”是企业 IT 安全技术应用的大势所趋
当下是一个 AI 时代,生成式 AI 与大语言模型(LLM)技术正在经历爆发式增长的过程,在各个领域都展示出了巨大的应用潜力,云端安全行业也不例外。正如亚马逊云科技首席安全官 CJ Moses 在本次大会的演讲中提到的那样,“生成式 AI 与 LLM 可以增强和补充现有的安全工具与流程,对安全团队产生重大影响。”
在过去,很多安全工作都需要密集的人力投入,未知的安全威胁、漏洞和突发事件往往依赖安全工程师的经验与技能才能妥善处理。但这样的工作流难以大规模扩展,面对指数级增长的威胁迟早力不从心。相比之下,AI/ML 技术能够将安全人员的注意力从简单重复劳动中解放出来,使安全工程师可以专注解决威胁本身,而不是浪费大量时间寻找和辨认安全问题。
以上个月推出的亚马逊安全湖为例,该服务能够自动收集、合并和分析来自 80 多个来源的安全数据,使安全团队更容易发现威胁并更快地响应安全事件。本次大会上新发布的 Amazon CodeGuru Security 则能自动检测违反安全策略的行为与漏洞,提供方案建议并生成健康状况指标。在这一工具的帮助下,企业软件开发团队就能以更少的成本构筑更安全的代码。此外,企业的安全团队还能利用新发布的 Findings Groups for Amazon Detective 工具,通过机器学习和图技术关联数以千计的离散安全事件,分析事件之间的关联性,快速定位问题根因。
企业开发团队运用 Amazon SageMaker 开发人工智能与机器学习应用的过程中,Amazon SageMaker 提供的原生安全功能和偏差检测功能是非常有价值的伙伴。例如,开发人员能够使用 Amazon SageMaker 模型卡审查机器学习生命周期中的治理与合规信息,并结合其他原生工具确保 AI 产品符合监管要求。
此外,亚马逊云科技每天都需要处理全球海量的 API 请求和日志记录,追踪事件达数十亿条,即 IAM 服务可以帮助云中每秒 10 亿次 API 调用的访问安全。这意味着亚马逊云科技能够检测到更多的安全威胁,并在快速响应单个企业异常情形的过程中生成经验,将这些经验部署到企业使用的自动化服务中,让其他用户免受同样的威胁或攻击。
企业应对的数据量越大、业务范围越广,出现潜在安全漏洞与合规缺陷的几率也就越高。自动化云安全服务的本质就是利用智能技术填补每一个潜在攻击面、完善每一处合规工作,通过云服务商庞大的云端资源补足企业的安全合规能力。亚马逊云科技正在这一路径上稳步前进,并高度人工智能创新为行业创造的全新机遇。未来,预计会有更多亚马逊云科技服务利用 LLM 等 AI 技术,帮助安全人员以更少的精力应对更复杂的安全合规挑战。
三、零信任方法巩固基础,安全方案需要社区伙伴共建
”零信任方法”是安全领域的重要概念,其核心思想是不信任接入网络的任何人,每一次连接都必须经过明确验证才能获得许可。考虑到今天的企业用户可能在各种位置与环境中,通过云端接入敏感数据,只有零信任方法才能提供足够的保护,使企业有信心面对更加严峻的安全态势。第三方服务接入企业应用时同样需要零信任架构来预防威胁,一直以来,亚马逊云科技持续强调零信任方法,帮助企业完善应用的权限模型,这样也能更好地对接第三方企业的安全产品与服务。例如,新发布的 Amazon Verified Permissions 就能帮助开发者在应用中落地零信任架构,该工具与不需要 VPN 的零信任网络访问工具 Amaozn Verified Access 结合,使企业可以快速在业务中部署零信任架构,并在这一架构基础上充分利用合作伙伴的能力建设和完善安全合规体系。
充满活力的社区是现代软件产业持续繁荣的动力来源。亚马逊云科技与超过十万合作伙伴的共同努力,为企业提供了丰富、可高度定制的安全方案选项,而零信任方法的应用,则让企业能够像信任亚马逊云基础设施一样信任第三方服务商。如此一来,即便是对安全性高度敏感的企业,也能充分利用亚马逊云科技合作伙伴网络加速业务创新和发展。
前几个月,亚马逊云科技与其他网络安全领导者一起宣布发布开放网络安全架构框架(OCSF)项目。该架构项目旨在标准化和规范化网络安全工具生成的数据,在该项目中,各企业和安全工具供应商们可以更密切地协同安全工作,旨在提供一个可定制且功能强大的架构,组织可开箱即用,也可以个性化定制。在本次大会上,亚马逊云科技发布的 Amazon Security Lake 便可将传入的安全数据加以转换,使之符合开放网络安全架构框架要求的格式 (OCSF),可以让安全团队更轻松地自动收集、组合和分析来自亚马逊云科技、安全合作伙伴和分析服务提供商等 80 多个来源的安全数据。
要知道,由于所处行业、地域、发展阶段、资源约束等因素的不同,每一家企业都有自己独特的安全合规需求,只有定制化的产品及服务才能最大程度上适配企业的自身状况。例如,正在开发欧洲市场的出海游戏企业可能更重视 GDPR 法规的数据隐私要求,而刚刚升级到分布式架构的金融机构则更多担忧新架构潜在的漏洞造成的业务中断危险。
显然,单纯依靠某一家云服务厂商来满足数以百万计企业的差异化需求是非常困难的。合理的实践是构建一个安全社区,依靠众多合作伙伴的力量创造强大而完善的解决方案矩阵。亚马逊云科技很早就意识到了这一点,并建设了一个合作伙伴网络。发展到今天,这一“网络”已经有了来自全球 150 多个国家的 10 万多家合作伙伴。在亚马逊云科技自身提供的 300 多项安全、合规和治理服务基础上,这些合作伙伴为 Amazon Marketplace 充实了数千项安全解决方案。例如,普华永道就携手亚马逊云科技,针对欧盟 GDPR、美国 HIPAA 等法规提供了健康医疗领域的安全合规服务,赋能医药企业安全出海。
值得一提的是,本次大会发布的 AWS Built-in Partner Solutions 是亚马逊云科技的合作伙伴网络的最新补充工具。用户使用该工具能够查找、购买和部署经过亚马逊云科技验证,与亚马逊云科技基础服务集成的合作伙伴软件,进一步为企业量身打造最佳的安全合规方案。该工具包含一个模块化代码库(MCR),使工程师部署合作伙伴方案的时间从原来的数周甚至数月缩短到一天之内,大幅简化了云端第三方服务的集成流程,为企业提供了与亚马逊自有服务一致的使用体验。
四、“出海合规”到“数据保护”,云端安全是业务成功的基础
随着全球化程度不断深入,世界各地的企业纷纷踏上出海之路,希望赢得更多地区用户的青睐,为业务增长注入源源不断的动力。然而,出海企业踏入陌生的市场环境时,不同的监管政策、技术环境、市场文化给业务和技术部门带来了诸多难题,企业希望全球性的云服务厂商能够帮助他们应对跨境数据安全、合规与业务运营等挑战。令人满意的是,很多企业在业务全球化之路上找到了亚马逊云科技,并在后者的高水平云安全合规水平的帮助下达成了业务出海的预期目标。
例如,全球最大的智能设备厂商之一 vivo 近年来快速扩张国际业务,希望达成统一决策、全球一盘棋、精准营销的目标,将营销经验沉淀为平台能力。为此,vivo 选择使用亚马逊云来构建系统,充分继承亚马逊在云基础架构层面的安全性和合规性,同时借助亚马逊云提供的各种安全工具进行构建,有效支撑全球营销业务。
网络硬件设施领导企业 TP-Link 的经验与 vivo 类似。得益于亚马逊云科技全球覆盖的基础设施资源、全面的数据安全与合规保障能力,TP-Link 快速搭建起了跨国业务平台,实现全球部署,让海外用户能够就近、高效地获得优质服务,持续优化用户体验,建立品牌声誉。通过亚马逊云科技部署云管平台,TP-Link 可以无缝满足其全球业务覆盖范围中各个国家 / 地区的数据安全合规要求,确保团队可以将精力充分投入产品服务创新之中,加速价值兑现。
数据保护与跨境传输和访问是中国公司出海过程中最关心的议题。OPPO 与 TCL 作为出海企业的佼佼者,前者使用了 Amazon CloudHSM 构建了自己独特的数据保护体系,可根据业务随时扩展加密机硬件容量,并利用亚马逊云科技的托管服务自动执行耗时的管理任务;后者则选择亚马逊云及合作伙伴方案。高效,低成本解决云上数据跨境的挑战,为业务海外发展保驾护航。另一家面向全球玩家的元宇宙游戏公司 GVERSE 同样高度重视跨境数据的安全稳定性。亚马逊云科技为该公司部署了 Amazon GuardDuty RDS Protection、Amazon Inspector、Amazon Security Hub 和 Amazon WAF 等安全产品,从基础设施保护等方面确保用户数据安全,有效消除了潜在风险,让企业对所有业务运行在亚马逊云科技上充满信心。
只有高度重视云端安全合规性,才能充分满足企业需求,将云安全合规构筑为支撑企业业务成长的重要基石。正如 CJ Moses 在本次大会上的演讲主题所言:"安全是我们的首要优先级"——亚马逊云科技充分理解云端安全合规性对企业的重要意义,并在通过诸多产品、服务和创新为企业打造业务的这一全新起点。
诚然,企业在数字化转型过程中需要增加安全投资、更加重视云端安全合规体系建设,但这并不意味着企业需要为此背负沉重的负担,在亚马逊云科技的帮助下,企业完全可以凭借较少的投入快速建设云端安全护城河。我们可以预测到,在未来,更多企业将利用亚马逊云科技的云安全能力,有效对抗安全风险并满足复杂的合规要求,实现降本增效与业务增长目标。
InfoQ 策划主编
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论